Ultrapassando as ameaças cibernéticas:
Prioridades para a proteção das instalações nucleares
Leonam dos Santos Guimarães
O Relatório Outpacing Cyber Threats: Priorities for Cybersecurity at Nuclear Facilities (Ultrapassando as ameaças cibernéticas: Prioridades para a segurança cibernética em instalações nucleares) lançado pela Nuclear Threat Initiative (NTI), apresenta um novo olhar sobre a proteção cibernética em instalações nucleares e oferece um conjunto de prioridades e recomendações ambiciosas e inovadoras. O relatório na ´ntegra pode ser acessado abaixo ou clicando no link, clique aqui.
Apresentamos a seguir seu resumo executivo em uma tradução livre.
A última década testemunhou um progresso sem precedentes na proteção física de materiais e instalações nucleares. Entretanto, conforme as principais melhorias na proteção física foram sendo implementadas, uma ameaça que é potencialmente ainda mais desafiadora está colocando esses ganhos em risco: a ameaça cibernética.
O ciberespaço oferece uma nova oportunidade para adversários determinados causarem estragos em instalações nucleares – possivelmente sem nunca colocar os pés no local. Ataques cibernéticos podem ser usados para facilitar o roubo de materiais nucleares ou um ato de sabotagem que resulte em liberação de materiais radioativos para o ambiente. Um ataque bem-sucedido pode ter consequências repercutindo em todo o mundo, comprometendo a confiança global na geração nucleoelétrica como fonte de energia segura e confiável. Dados os riscos e as potenciais consequências, os governos e a indústria devem aumentar seu foco na ameaça cibernética.
Os operadores nucleares e uma série de organizações nacionais e internacionais reconheceram o desafio e começaram a acelerar seus esforços para fortalecer a segurança cibernética em instalações nucleares. No entanto, a rápida evolução da ameaça cibernética, combinada com a proliferação de sistemas digitais, torna difícil antecipar-se à ameaça. Caso após caso, dos ataques Stuxnet à instalação de enriquecimento de urânio de Natanz no Irã, ao hack da energia hidrelétrica e nuclear da Coreia do Sul, às revelações perturbadoras de malware encontrado em sistemas em uma usina nuclear alemã, demonstra que a abordagem atual da proteção cibernética em instalações nucleares não é proporcional ao desafio. Elaborar uma estratégia que proteja as instalações contra ameaças cibernéticas dinâmicas e em evolução exige um exame novo e irrestrito da estrutura abrangente que orienta a proteção cibernética.
Para tentar se antecipar à ameaça, a Nuclear Threat Initiative (NTI) reuniu um grupo internacional de especialistas técnicos e operacionais com experiência em segurança de computadores, sistemas de segurança nuclear, engenharia nuclear, sistemas de controle industrial e operações de instalações nucleares. Esse grupo foi encarregado de identificar os elementos centrais de uma nova estratégia e, em seguida, focar nos elementos que teriam o maior impacto possível.
Ao longo de 12 meses, o grupo identificou quatro prioridades abrangentes, bem como ações específicas, que, se implementadas, reduziriam drasticamente o risco de ataques cibernéticos danosos a instalações nucleares. Conceitos semelhantes estão sendo usados em outros lugares, e a NTI acredita que, isoladamente ou em combinação, eles proporcionariam uma vantagem considerável na ameaça às instalações nucleares.
1. Institucionalizar a segurança cibernética. A implementação de processos e práticas robustas é essencial para o gerenciamento eficaz de sistemas complexos e está no centro de programas de gerenciamento de qualidade de longa data usados em toda a indústria. Dada a rápida evolução da ameaça cibernética, no entanto, tais práticas geralmente ainda não existem para a proteção cibernética em instalações nucleares. As instalações nucleares devem aprender com os exemplos dados pelos programas de proteção física para fortalecer e manter seus programas de proteção cibernética. Especificamente, os governos e reguladores devem trabalhar para desenvolver e implementar estruturas regulatórias, talvez aproveitando as lições aprendidas com o progresso feito em segurança técnica e proteção física nuclear, que promovam a institucionalização e a melhoria contínua da proteção cibernética em instalações nucleares. A indústria nuclear deve aplicar as lições aprendidas com as experiências da indústria com segurança e proteção física e deve apoiar os esforços de segurança cibernética de organizações relevantes, incluindo a Agência Internacional de Energia Atômica (IAEA), a Associação Nuclear Mundial (WNA), a Associação Mundial de Operadores Nucleares (WANO ), e o Instituto de Operações de Energia Nuclear (INPO), em um esforço para continuar o diálogo internacional e contribuir para a pesquisa e o desenvolvimento essenciais para melhorar a segurança cibernética. As organizações internacionais devem apoiar, por meio do diálogo internacional e da definição das melhores práticas relevantes, a cooperação internacional e um enfoque ampliado na segurança cibernética em instalações nucleares.
2. Monte uma defesa ativa. As arquiteturas estáticas de segurança cibernética nas instalações nucleares de hoje não são eficazes o suficiente por si mesmas para evitar uma violação por um determinado adversário – violações ocorrerão e ter uma resposta eficaz é crucial. As instalações nucleares precisam desenvolver os meios para responder uma vez que ocorra um acordo. Tal ação é essencial, mas permanece desafiada pela escassez global de especialistas técnicos. Especificamente, Governos e reguladores devem aprimorar a experiência cibernética dentro de órgãos governamentais e regulatórios, compartilhar informações relevantes sobre ameaças com a indústria, considerar como desenvolver e exercer recursos de resposta a incidentes cibernéticos e fornecer recursos adicionais para defesa contra ameaças além daquelas que as instalações poderiam razoavelmente lidar. A indústria nuclear deve iniciar o desenvolvimento de capacidades ativas de defesa em nível de instalação, incluindo a elaboração de acordos de ajuda mútua ou outros meios para acessar as habilidades necessárias. As organizações internacionais devem facilitar o compartilhamento de informações sobre ameaças sempre que possível e apropriado.
3. Reduza a complexidade. A complexidade é inimiga da proteção. As instalações nucleares de hoje consistem em mais de mil sistemas digitais. O impacto desses sistemas na segurança, suas funcionalidades e como eles interagem nem sempre são totalmente compreendidos. Embora as redes possam ser inicialmente caracterizadas, essas informações muitas vezes não estão atualizadas. Quando se trata dos sistemas mais críticos, a opção mais vantajosa pode ser eliminar totalmente a complexidade digital por meio da transição para sistemas não digitais. Especificamente, os governos e reguladores devem apoiar com recursos financeiros, de pessoal e de pesquisa os esforços das instalações para caracterizar as redes, compreender as funcionalidades e interações e, por fim, minimizar a complexidade dos sistemas críticos. A indústria e as instalações nucleares devem caracterizar os sistemas, identificar o excesso de funcionalidades, removê-los quando possível, e trabalhar com os fornecedores para desenvolver sistemas não digitais e produtos protegidos desde o projeto, quando possível e apropriado. As organizações internacionais devem desenvolver e fornecer orientação e treinamento para governos e instalações, conforme solicitado.
4. Buscar a transformação. A comunidade global está nos estágios iniciais de compreensão da magnitude da ameaça cibernética. De muitas maneiras, os humanos criaram sistemas que são complexos demais para gerenciar; na maioria dos casos, os riscos nem podem ser quantificados. Como resultado, há uma necessidade fundamental de pesquisa transformativa para desenvolver sistemas difíceis de hackear para aplicativos críticos. Especificamente, os governos e reguladores devem empreender ou financiar pesquisas transformadoras em tecnologias, métodos e abordagens que serão necessárias para superar a ameaça; as organizações internacionais devem promover a inovação e continuar a pensar criativamente sobre como mitigar essa ameaça e devem recrutar uma variedade de vozes e perspectivas para participar da conversa; governos, indústria e organizações internacionais devem se esforçar para aumentar a capacidade humana em todo o campo cybernuclear, especialmente em países com programas de energia nuclear civil novos ou em expansão.
Juntas, as prioridades listadas representam uma nova abordagem para superar a ameaça cibernética urgente e em evolução. Implementá-los será um esforço de vários anos e não será fácil, mas o risco é muito grande para aceitar o status quo.
Clique na imagem abaixo para acessar o documento em PDF